Aanvallers spelen in op verwarring en vertrouwen
Social engineering-aanvallen worden steeds gerichter. Waar eerder vooral eindgebruikers doelwit waren, zien we nu een duidelijke verschuiving naar:
- helpdesks
- functioneel beheerders
- applicatiebeheerders
- HR afdelingen
Niet omdat deze rollen zwakker zijn, maar omdat zij toegang kunnen geven tot kritische systemen.
Aanvallers maken daar actief misbruik van via vishing (telefonisch contact), impersonatie en misleiding. Recente campagnes laten zien dat dit leidt tot directe toegang tot SaaS-omgevingen en snelle data-exfiltratie.
👉 De belangrijkste les: technische maatregelen alleen zijn niet voldoende, processen bepalen het verschil
Waar het in de praktijk misgaat
In veel organisaties zien we dezelfde patronen:
- Identiteit wordt “aannemelijk” gevonden in plaats van bewezen
- Verificatie gebeurt op basis van publiek bekende informatie
- Helpdeskmedewerkers voelen druk om snel te helpen
- Er is geen duidelijke “stopregel” bij twijfel
Aanvallers spelen hier bewust op in:
- ze gebruiken interne termen en namen (OSINT)
- creëren urgentie
- doen zich voor als IT, leverancier of collega
Resultaat:
➡️ Verificatieprocessen worden omzeild
➡️ Toegang wordt legitiem verstrekt
➡️ Detectie komt vaak te laat
De belangrijkste verbeteractie: maak identiteitsverificatie aantoonbaar sterk
Voor alle security-gevoelige verzoeken (zoals wachtwoord- en MFA-resets) moet identiteit actief bewezen worden.
Wat je moet stoppen
- Verificatie op basis van:
- geboortedatum
- naam leidinggevende
- interne of publiek vindbare informatie
Deze gegevens zijn vaak eenvoudig te achterhalen.
Wat je moet invoeren
1. Verplicht visuele verificatie bij accountwijzigingen
- Start een video call
- Laat gebruiker ID tonen naast gezicht
- Vergelijk met interne profielfoto
➡️ Geen video mogelijk? Dan geen wijziging, of alleen via zwaar alternatief proces.
2. Gebruik altijd een tweede verificatiestap (out-of-band)
Bij risicovolle acties:
- bel terug via geregistreerd nummer
- vraag bevestiging via leidinggevende
➡️ Eén kanaal = onvoldoende
3. Introduceer harde stopregels
Leg dit expliciet vast en train erop:
- Gebruiker staat Out-of-Office → geen actie uitvoeren
- Onverwachte urgentie → extra verificatie verplicht
- Twijfel → escaleren, niet oplossen
➡️ Geef helpdesk expliciet mandaat om “nee” te zeggen
Specifieke maatregelen voor leveranciers en externe partijen
Aanvallers doen zich regelmatig voor als:
- SaaS-support
- IT-leveranciers
- externe beheerders
Wat je moet invoeren:
- Nooit handelen op basis van inkomend verzoek
- Altijd zelf contact opnemen via bekende contactgegevens
- Alleen wijzigingen via officiële supporttickets
➡️ Geen ticket = geen actie
Bescherm je SaaS-omgeving tegen misbruik
Na toegang volgt vaak direct data-exfiltratie. Daarom moet je SaaS-configuratie hierop ingericht zijn.
Concrete acties:
Beperk datatoegang
- Minimaliseer exportrechten
- Beperk gebruik van tools zoals data loaders
Controleer integraties
- Review alle connected apps
- Verwijder ongebruikte koppelingen
- Werk met allowlisting
Beperk toegang
- Gebruik IP-restricties waar mogelijk
- Pas least privilege toe op alle rollen
Detectie: waar moet je op letten
Omdat aanvallen via legitieme toegang plaatsvinden, moet je specifiek letten op afwijkend gedrag:
- logins vanaf onbekende locaties of infrastructuur
- plotselinge bulk data-export
- nieuwe of onbekende applicatiekoppelingen
- wijziging van MFA-instellingen
➡️ Combineer identity-, SaaS- en endpoint-logging voor context
Bewustwording: ook eindgebruikers blijven doelwit
Aanvallers benaderen ook direct gebruikers met verhoogde rechten.
Wat je moet organiseren:
- Gebruikers laten ophangen en zelf terugbellen
- Verplicht gebruik van officiële supportkanalen
- Duidelijk meldproces voor verdachte communicatie
➡️ Maak melden laagdrempelig en zichtbaar
Kort samengevat wat je nu kunt doen
Als je dit praktisch wilt aanpakken, begin hier:
- Stop met verificatie op basis van “bekende” gegevens
- Introduceer video- of high-assurance verificatie
- Verplicht een tweede verificatiestap bij risicovolle acties
- Leg harde stopregels vast (twijfel = geen actie)
- Dwing verificatie van leveranciers af
- Beperk SaaS-export en integraties
- Richt monitoring in op afwijkend gedrag
Verdieping
Voor verdere technische aanbevelingen en achtergrond van deze aanvalstechnieken:
